La Commission Européenne a communiqué lundi de nouvelles règles concernant la procédure que doivent suivre les services de télécommunications et les fournisseurs d'accès à internet, en cas de perte, de vol ou de violation des données personnelles de leurs clients. Elles visent à harmoniser au niveau européen le formalisme que doivent suivre les FAI pour alerter les autorités compétentes lorsqu'une faille de sécurité a pu aboutir à la violation de données privées, et pour décider ou non d'en informer les abonnés.
Car cette communication au public n'est pas systématique, quand bien même seraient-ils les premiers concernés. "En collaboration avec l'ENISA (Agence européenne chargée de la sécurité des réseaux et de l'information), la Commission publiera une liste indicative de mesures techniques de protection, telles que les techniques de cryptage, qui rendent les données incompréhensibles pour toute personne non habilitée à en prendre connaissance", indique la Commission Européenne.
Elle ajoute que "si une entreprise utilisant une telle technique devait subir une violation de données en sa possession, elle serait dispensée de l’obligation d’en informer l’abonné concerné, car une telle violation ne révélerait pas véritablement les données à caractère personnel de celui-ci".
Les hébergeurs et éditeurs de sites web, toujours exonérés de toute communication
Une étrange blague qui s'ajoute au fait que contrairement à ce qui existe par exemple en Californie, l'obligation européenne de divulgation des violations de données personnelles ne s'applique qu'aux fournisseurs d'accès à internet et autres opérateurs téléphoniques, et non aux innombrables fournisseurs de services en ligne. Les hébergeurs, éditeurs de sites internet, fournisseurs de services de VoIP ou autres organisateurs de votes électroniques n'ont toujours aucune obligation similaire, alors que ce sont d'eux que viennent la quasi totalité des risques de fuites.
En France, la recommandation de la Commission n'aura rien de nouveau. L'article 34 bis de la loi informatique et libertés, créé par une ordonnance de 2011, prévoit déjà l'obligation pour les FAI de prévenir la CNIL de toute "violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques".
Et l'article prévoit que "la notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire si la Commission nationale de l'informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès". Et rappelons, en plein scandale PRISM, que les services de l'Etat peuvent faire partie des "personnes autorisées", lorsque la faille est exploitée par les Renseignements.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.